• Tweet

El gigante independiente de memorias Kingston Technology ha anunciado una inusual advertencia donde indica que varios de las supuestamente seguras memorias cifradas pueden ser burladas.

La naturaleza precisa del hack no ha sido liberada, pero la compañía mencionó tres modelos, la DataTraveler BlackBox, la DataTraveler Secure - Privacy Edition y la DataTraveler Elite - Privacy Edition, siendo vulnerables por una persona con la suficiente capacidad, las herramientas apropiadas y el acceso físico a los dispositivos.

Todos los dispositivos usan cifrado de alta seguridad AES de 256 bits, luego entonces es probable que la vulnerabilidad permita de alguna manera el acceso a la llave de cifrado almacenada dentro del dispositivo, lo cual daría libre acceso a la información. Lograrlo no sería trivial, pero exactamente qué cantidad de no trivialidad resulta imposible para entonces realizar pruebas sin el tipo de información que la empresa no ofrecerá por temor a que ocurran más ataques.

La compañía señaló a manera de mitigación que la advertencia no aplica a un cierto número de otros productos de memorias USB seguras, incluyendo la DataTraveler Locker, DataTraveler Locker+, DataTraveler Vault, DataTraveler Vault - Privacy Edition, DataTraveler Elite y DataTraveler Secure. Dos de los modelos afectados, la Secure y Elite, no están a la venta extensamente aunque estuvieran todavía en uso en muchas organizaciones.

Es vergonzoso que esto haya ocurrido, pero es aun más serio que haya sido sobre la actual DataTraveler BlackBox. Ese dispositivo en particular es vendido para garantizar la seguridad de acuerdo el estándar US federal FIPS 140-2 Nivel 2, caracterizado por un endurecimiento de la complejidad de la contraseña, bloqueo después de un número específico de intentos no exitosos para frustrar la fuerza bruta y está envuelta en una carcasa de titanium a prueba de agua. En Reino Unido, una versión de 2 GB de una de estas memorias se vende por un precio preferencial de entre 70 y 90 libras esterlinas, alrededor de 115 dólares.

El estándar FIPS 140-2 Level 2 debe garantizar que el dispositivo en cuestión mostrará evidencia de una violación física si es que algo así hubiese sido intentado. Es solamente en el nivel 3 y 4 que el dispositivo tiene que resistir violaciones físicas, lo cual bloquearía cualquier acceso a la llave de cifrado almacenada dentro de la memoria.

Un especialista de Origin Storage, rival en material de memorias USB tomó la noticia de Kingston con cierto júbilo. “Los días de escoger la memoria USB segura más barata y de tecnologías similares de almacenamiento se ha ido, tal como la situación de Kingston lo demuestra,” dijo el director de gestión Andy Cordial.

Kingston Technology ha publicado un directorio telefónico ordenado por países para que los clientes puedan contactar y regresar sus memorias.